Siber Güvenlik Kanunu yürürlüğe girdi

Uzun süredir beklenen 7545 sayılı Siber Güvenlik Kanunu 19 Mart 2025 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu kanun, kamu kurumlarının, gerçek kişilerin ve özel sektör kuruluşlarının siber tehditlerden korunmasını temel hedef olarak belirlemekte ve ulusal siber güvenliği güçlendirmeye yönelik kapsamlı politika ve stratejiler oluşturmaktadır. Geniş uygulama alanı sebebiyle, siber uzayda faaliyet gösteren tüm kamu kuruluşları, özel hukuk tüzel kişileri, meslek kuruluşları ve gerçek kişiler Siber Güvenlik Kanunu’nun kapsamına girmektedir.

Siber Güvenlik Başkanlığı’nın görev ve yetkileri

8 Ocak 2025 tarihinde Resmi Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösteren gerçek kişilere ve kuruluşlara yönelik düzenleme ve denetleme yetkilerini elinde bulunduran esas merci olarak belirlenmiştir. Böylelikle, önceden Bilgi Teknolojileri ve İletişim Kurumu ve T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nde bulunan yetkiler Siber Güvenlik Başkanlığı’na devredilmiştir.

Siber Güvenlik Başkanlığı’nın başlıca görevleri aşağıdaki şekildedir:

• Kritik altyapılar ile ait oldukları kurumların belirlenmesi;
• Siber olay müdahale ekiplerinin kurulması ve koordine edilmesi;
• Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasların belirlenmesi;
• İlgili denetimlerin gerçekleştirilmesi ve uyum yükümlülüklerinin ihlali halinde yaptırım uygulanması;
• Siber güvenlik alanına ilişkin standartların hazırlanması;
• Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerinin yürütülmesi; ve
• Kamu kurumları ve kritik altyapılarda siber güvenlik yazılım, donanım, ürün ve hizmetlerinin kullanımı için güvenlik kriterlerinin belirlenmesi.

Siber Güvenlik Başkanlığı’na siber güvenliğe ilişkin konularda kapsamlı bir denetim yetkisi tanınmıştır. Buna göre Siber Güvenlik Başkanlığı, Siber Güvenlik Kanunu kapsamındaki her türlü işlemi, kendi personeli veya yetkilendireceği bağımsız denetçiler aracılığıyla mahallinde inceleme yapmak suretiyle denetleme ve bu kapsamda ilgili her türlü veri, belge, elektronik altyapı, cihaz, sistem, yazılım ve donanımı inceleyerek kopya çıkarma ve dijital suret alma yetkisine sahiptir.

Siber Güvenlik Başkanlığı tarafından söz konusu denetimlere tabi tutulanlar ilgili cihaz, sistem, yazılım ve donanımlarını denetlemeye açık tutmak, bu amaçla gerekli altyapıyı temin etmek ve gerekli önlemlerin alınmasını sağlamakla yükümlüdür. Bu yükümlülüklere aykırılık halinde 100.000 TL ile 1.000.000 TL arasında idari para cezası yaptırımı öngörülmüştür. Ticari şirketlerin söz konusu yükümlülüklere uymaması halinde ilgili şirketlere yıllık brüt satış hasılatının yüzde beşine kadar idari para cezası uygulanabilecektir.

Siber Güvenlik Başkanlığı ayrıca siber olayları araştırmak ve etkilenen kişilere müdahale desteği sağlamak; Siber Güvenlik Kanunu’na tabi kişilerden bilgi, belge, veri ve kayıt toplamak; siber güvenlik denetim ve incelemelerini gerçekleştirmek üzere bağımsız denetçiler görevlendirmek ve yetkilendirmek; ve siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin Türkiye dışına ihraç edilmesine ilişkin usul ve esasları belirlemek gibi çeşitli yetkilere de sahiptir.

Bilişim teknolojileri ve siber güvenlik şirketlerinin yükümlülükleri

Bilişim teknolojileri şirketleri

Siber Güvenlik Kanunu uyarınca, bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve ilgili faaliyetleri yürüten şirketlere aşağıdaki hususları da içeren birtakım yükümlülükler getirilmiştir:

• Siber Güvenlik Başkanlığı’nın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü desteği öncelikle ve zamanında Siber Güvenlik Başkanlığı’na sunmak;
• Milli güvenlik ve kamu düzeni amacıyla siber güvenliğe yönelik olarak gerekli yasal tedbirleri almak ve hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmek;
• Kamu kurumları ve kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek; ve
• Siber Güvenlik Başkanlığı tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer ikincil düzenlemelere uyumluluğu sağlamak.

Yukarıda ikinci ve üçüncü maddelerde sayılan yükümlülüklere uyulmaması halinde ilgililere 1.000.000 TL ile 10.000.000 TL arasında idari para cezası uygulanabilecektir.

Siber güvenlik şirketleri

Siber Güvenlik Kanunu kapsamında siber güvenlik ürünleri, sistemleri, yazılımları, donanımları ve hizmetleri üreten siber güvenlik şirketlerine aşağıdaki şekilde birtakım ek yükümlülükler getirilmiştir:

• Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce Siber Güvenlik Başkanlığı’ndan onay alınması;
• Yurt dışına satışı izine tabi olan siber güvenlik ürünlerinin ihracatında Siber Güvenlik Başkanlığı’nın onayının alınması;
• Birleşme, bölünme, pay devri veya satışa ilişkin hukuki işlemlerin Siber Güvenlik Başkanlığı’na bildirilmesi; ve
• Söz konusu işlemler sonucunda doğrudan veya dolaylı kontrol değişikliği gerçekleşmesi durumunda Siber Güvenlik Başkanlığı’ndan önceden onay alınması.

Yukarıda son üç maddede sayılan yükümlülüklere uyulmaması halinde ilgililere 10.000.000 TL ile 100.000.000 TL arasında idari para cezası uygulanabilecektir. Ayrıca, yukarıda sayılan ve Siber Güvenlik Başkanlığı’nın onayına tabi işlemler, onayın alınmaması halinde hukuken geçersiz sayılacaktır.

Siber güvenlik ile ilgili suçlar ve idari para cezaları

Suçlar

Siber Güvenlik Kanunu, siber güvenlik ile ilgili olarak hapis ve adli para cezası gibi ağır yaptırımlarla sonuçlanan yeni suç tipleri düzenlemektedir. Buna göre;

• Kanunla yetkilendirilen kişilerce talep edilen bilgi, belge, yazılım veya donanımı vermeyenler veya bunların alınmasına engel olanlar, bir yıldan üç yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılmaktadır;
• Gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler, iki yıldan dört yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası ile cezalandırılmaktadır;
• Veri sızıntısı nedeniyle elde edilen kişisel verileri veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açanlar, üç yıldan beş yıla kadar hapis cezası ile cezalandırılmaktadır; ve
• Halk arasında endişe yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlik ile ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlar veya bu içerikleri yayanlar, iki yıldan beş yıla kadar hapis cezası ile cezalandırılmaktadır.

İdari para cezaları

Siber Güvenlik Kanunu uyarınca siber güvenlik yükümlülüklerine aykırılık oluşturan farklı haller için 100.000 TL ile 100.000.000 TL arasında değişen tutarlarda idari para cezaları öngörülmektedir. Bunlar arasından bazı yükümlülüklere aykırılık halinde ticari şirketlere yıllık brüt satış hasılatının yüzde beşine kadar idari para cezası uygulanabileceği düzenlenmiştir.

İdari para cezalarının uygulanması bakımından öncelikle ilgililere Siber Güvenlik Başkanlığı tarafından yapılacak bildirim üzerine 30 gün içinde savunmalarını sunma imkânı tanınacaktır. Siber Güvenlik Başkanlığı tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenmelidir. İdari para cezalarına ilişkin Siber Güvenlik Başkanlığı kararlarına karşı idare mahkemelerinde itiraz edilebilir.

Geçiş dönemi

Siber Güvenlik Kanunu’nun uygulanmasına ilişkin usul ve esaslar Siber Güvenlik Başkanlığı tarafından bir yıl içerisinde çıkarılacak olan ikincil mevzuat düzenlemeleri ile açıklığa kavuşturulacaktır. Söz konusu düzenlemelerin, siber güvenlik sektöründeki kuruluşlar için uyum ve belgelendirme prosedürleri de dâhil olmak üzere Siber Güvenlik Kanunu’nun pratikte uygulamasının belirlenmesinde önemli rolü olacaktır.

Siber güvenlik alanında faaliyet gösteren kuruluşların Siber Güvenlik Başkanlığı tarafından çıkarılması planlanan düzenlemelerin yayım tarihinden itibaren bir yıl içinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlaması gerekmektedir. Söz konusu yükümlülükleri yerine getirmeyen kuruluşların siber güvenlik alanında faaliyette bulunması yasaklanacaktır. Geçiş döneminin sonuna kadar yükümlülüklerini yerine getirmeyen ticaret şirketleri, ticaret unvanlarından ve ticari faaliyetlerinden siber güvenlik ile ilgili ibareleri çıkarmakla veya ticaret sicilinden terkin edilmek üzere tasfiye işlemlerini başlatmakla yükümlü olacaklardır.